Arrestan afiliados al ransomware REvil/Sodinokibi/GandCrab

Arrestan a nuevos afiliados al ransomware REvil, un grupo que bajo ese nombre está en actividad desde 2019 y que ha sido responsable de innumerables ataques a organizaciones de todo tipo de industrias a nivel mundial. Recordemos que muchas familias de ransomware operan bajo un modelo llamado Ransomware-as-a-Service en el cual los desarrolladores del ransomware reclutan afiliados para que lleven adelante los ataques utilizando el malware a cambio de un porcentaje de las ganancias.

Primero detuvieron a dos sospechosos en Rumania el pasado 4 de noviembre acusados de llevar adelante 5.000 ataques con REvil, también conocido como Sodinokibi. Ese mismo día las autoridades de Kuwait detuvieron a un sospechoso de ser afiliados del ransomware GandCrab, el cual se cree que era operado por los mismos miembros de REvil antes de 2019.

A comienzos de octubre ya habían detenido a un afiliado de nacionalidad ucraniana en la frontera con Polonia tras un pedido de captura de los Estados Unidos al ser sospechoso de llevar adelante el ataque a Kaseya que afectó a más de 1500 compañías y en el cual los cibercriminales explotaron una zero-day en el software Kaseya VSA y demandaron el pago de un rescate por 70 millones de dólares para obtener un descifrador. En total, junto a otros tres detenidos por las autoridades de Corea del Sur entre febrero y octubre de 2021, van siete. Según Europol, solo estos afiliados solicitaron pagos de rescate por más de 200 millones de euros.

Acciones para detener el avance del ransomware

Este es el resultado de una Operación llamada GoldDust que involucra el trabajo en conjunto de 17 países, INTERPOL, Europol y Eurojust, aseguró la autoridad europea. El ransomware viene teniendo una actividad importante y su impacto ha sido significativo desde el inicio de 2020 a esta parte, convirtiéndose en una de las principales amenazas cibernéticas.

Por su parte, el gobierno de Estados Unidos lanzó un programa de recompensa ofreciendo 10 millones de dólares por información que permita identificar o localizar a los líderes del grupo detrás del ransomware REvil y 5 millones por información que conduzca a afiliados del grupo. Hace unos días las autoridades norteamericanas habían lanzado un programa similar por información del grupo detrás del ransomware DarkSide y en julio otro ofreciendo recompensa por información relacionada a ciberataques a infraestructuras críticas.

Estas acciones que reflejan la intención de ir en busca de los operadores de los grupos de ransomware. En Estados Unidos, luego de lo que fue el ataque a la compañía de oleoducto Colonial Pipeline a manos del ransomware DarkSide, las autoridades comunicaron su intención de tomar medidas para combatir estos grupos de amenazas y de trabajar de manera conjunta. Hace unos días, en el marco de una iniciativa por el gobierno de los Estados Unidos, autoridades de más de 30 países se comprometieron a tomar acción contra el ransomware de forma estrecha para compartir información sobre víctimas de ransomware, de fuerzas de seguridad y de centros de respuesta a incidentes.

Por su parte, el presidente Joe Biden en un comunicado publicado por la casa blanca el 8 de noviembre afirmó que "estamos dedicando todos los esfuerzos por parte del gobierno federal para interrumpir la actividad maliciosa y de los actores de amenazas, trabajar sobre el abuso de criptomonedas para lavar pagos de ransomware y llevar adelante trabajos de cooperación internacional para intentar afectar el ecosistema que permite a los cibercriminales operar. Si bien queda mucho por hacer, hemos tomado pasos importantes para proteger nuestras infraestructuras críticas y trabajar conjuntamente con nuestros socios y aliados para desmantelar operaciones redes de ransomware", aseguró el mandatario.

Fuente: WeLiveSecurity

Suscríbete a nuestro Boletín